neue Viren-Familie "Korgo" in Version .A bis .F

  • Themenstarter Themenstarter Rushjo
  • Beginndatum Beginndatum
R

Rushjo

Guest
Wie heise.de berichtet, gibt es nun eine ganze neue Viren-Familien, die die anscheinend bei vielen Usern immernoch ungepatchte Sicherheitslücke im "LSASS" Modul ausnutzt. Die Familie namens "Korgo" befällt diese ungepatchten Rechner bisher schon in Version A bis F. Bei einigen AV-Hersteller wird der Virus als "Mittel" gefährlich eingestuft. Auch werden entsprechende Tools zum entfernen kostenlos angeboten, hier. Auch sollten eigentlich mittlerweile wirklich alle User die entsprechenden Patches eingespielt haben.

Da kann man sich schon über diese "running gags" bei Windows wundern....

MfG Rushjo

[1] Quelle "Viren News", heise.de (deutsch)
[2] Quelle "Virenfamilie Korgo .A - .F", symantec.com (english)



[NACHTRAG]

Wie TheRegister.co.uk berichtet, wird der Wurm "Korgo" auch "Padobot" genannt und stammt von der russischen Viren-Writer-Gruppe "Russian Hangup Team". Der Wurm wurde in C++ geschrieben und dann mit UPX gepackt, so ist er lediglich 10KB gross. Der Wurm kopiert sich selber unter einen zufällig generierten Namen ins Windows-Hauptverzeichnis und trägt sich in der Registry als "run Service" ein. Er scannt zufällig adere Rechne auf Port 445 und öffnet die Ports 113 und 3067 für RemoteAccess. Gleichzeitig connected er sich zu mehreren IRC-Networks, von denen er dann Befehle ausführt.

[1] Quelle "Korgo raises zombie PC army", theregister.co.uk (english)

[/NACHTRAG]
 
Wie TheRegister.co.uk aktuell berichtet, gibt nun auch noch einen neuen Super-Virus. Dieser Virus unter dem Namen "PLEXUS A" nutzt gleichzeitig mehrere Methoden, um sich zu verbreiten. Dabei verbreitet er sich über "infektiöse eMail-Anhänge", FileSharing-Netzwerke und über Windows-Sicherheitslücken ( z.B. LSASS und RPC Bugs). Der unbekannte Author soll dabei laut der russischen AV-Firma "Kaspersky" den SourceCode von MyDoom als Grundlage genutzt haben. Ausserdem verhindert der Wurm noch gezielt das Herunterladen von Virendefinitions-Updates von Kaspersky. Daher wird der Wurm als "moderat gefährlich" eingestuft. Seit dem Wurm "Nimda" gab es keinen Wurm mehr, der soviele Verbreitungsmöglichkeiten hatte, wie jetzt "Plexus A". Auf infizierten Rechnern wird dann vom Wurm der Port 1250 geöffnet, über den dann einer "Angreifer" Dateien auf dem Rechner nachladen kann usw.

Supi, das wird ja noch die Woche der Windows-Würmer....

MfG Rushjo

[1] Quelle "Mutant so of MyDoom", theregister.co.uk (english)
[2] Quelle "Virus Encyclopedia", viruslist.com (english)
 
Original von Rushjo
Wie heise.de berichtet, gibt es nun eine ganze neue Viren-Familien, die die anscheinend bei vielen Usern immernoch ungepatchte Sicherheitslücke im "LSASS" Modul ausnutzt.
Zum Vergrößern anklicken....
Aus diesem Grund wurde nun das Security Bulletin MS04-011 aktualisiert und damit einige getestete Workarounds in das Dokument aufgenommen. Wer also den Patch für diese Sicherheitslücke nicht installieren kann, warum auch immer, sollte sich einmal die Workarounds anschauen.

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
 
Hallo,

das ganze Betriebssystem ist ein Workaround.

Wird Zeit das auch endlich mal Fehler behoben werden statt drum herum zu programmieren. Wenn ich so arbeiten würde, wäre mein Arbeitgeber längst pleite.
Statt ständig irgendwelche Betas von neuen Betriebssystemen auf den Markt zu werfen sollte M$ seine hellen Köpfe mal dazu bringen, die Fehler von bestehenden Systemen auszumerzen.

Gruss

Tarrasque
 
Original von Tarrasque
werfen sollte M$ seine hellen Köpfe mal dazu bringen, die Fehler von bestehenden Systemen auszumerzen
Zum Vergrößern anklicken....
Wird doch gemacht, schau dir doch mal die Zahl der bisherigen Patches/Updates/Servicepacks an, die werden ja nun nicht zum Spass entwickelt.

Auch in naher Zukunft wird sich einiges tun, nehmen wir zum Beispiel die RPC-Problematik:
A number of changes have been made in the Remote Procedure Call (RPC) service for Windows XP Service Pack 2 that help make RPC interfaces secure by default and reduce the attack surface of Windows XP. The most significant change is the addition of the RestrictRemoteClients registry key. This key modifies the behavior of all RPC interfaces on the system and will, by default, eliminate remote anonymous access to RPC interfaces on the system, with some exceptions. Additional changes include the EnableAuthEpResolution registry key and three new interface registration flags.
Zum Vergrößern anklicken....
Außerdem wurden die Core-files rekompiliert und mit einem besseren Speicherschutz versehen um gegen Buffer Overflows zu schützen.

Sie sind langsam, ok, aber nicht untätig.
Ob die Änderungen wirksam sind steht wieder auf einem anderen Blatt.
 
Hallo,

aber warum muss schon am nächsten halbgaren OS gestrickt werden, wenn nicht mal das bestehende wirklich lückenlos ist. Es gibt Fehler die werden von Version zu Version mitgeschleift.

Und zu den Patches. Die werden häufig mit heisser Nadel gestrickt und reissen danach andere Löcher auf. Dann gibt es noch dokumentierte Fehler die lange bekannt sind und sich kein Mensch drum kümmert. Mit Longhorn fängt der selbe Müll doch wieder von vorne an. Nebenbei sollte man sich mal die Systemanforderungen für Longhorn mal anschauen. M$ ist doch größenwahnsinnig.

Gruss

Tarrasque
 
Original von Tarrasque
aber warum muss schon am nächsten halbgaren OS gestrickt werden, wenn nicht mal das bestehende wirklich lückenlos ist.
Zum Vergrößern anklicken....
Geschäftsstrategien, man will schließlich Umsatz machen.
Und: Wie will man neue Technologien/"Visionen" einführen ohne neue Windowsversion? Man kann ja schlecht Updates von mehreren GB Größe anbieten. (Beispiel Longhorn)
Vielleicht dazu noch kostenlos, wie will man denn dann die Entwicklungskosten wieder reinbekommen?

Mit Longhorn fängt der selbe Müll doch wieder von vorne an.
Zum Vergrößern anklicken....
Denke ich nicht. Longhorn baut auf xp auf, die Patches für xp patchen somit indirekt auch Longhorn. Man wird sehen ...

Nebenbei sollte man sich mal die Systemanforderungen für Longhorn mal anschauen. M$ ist doch größenwahnsinnig.
Zum Vergrößern anklicken....
Ach, nichts wird so heiß gegessen wie es gekocht wird :)
Wer weiß denn schon ob diese Angaben verlässlich sind, das sind doch alles nur Spekulationen.
Release ist 2006 jetzt haben wir erstmal 2004:
- dual CPU running at 4 to 6 GHz, up to a terabyte of storage, a graphics processor that runs three times faster than those on the market today
sollte 2006 bei derzeitiger Entwicklung doch verfügbar sein

-minimum of 2 gigs of RAM
jetzt haben schon viele über 1GB

Die werfen doch kein OS auf den Markt, für das, die zu einer problemlosen Benutzung erforderliche Hardware, nicht existiert. Die sind doch nicht auf den Kopf gefallen, das kann doch garnicht in deren Intresse sein.

Außerdem sollte man bedenken das die genannten Anforderungen denen entsprechen, die man benötigt wenn man alle Funktionen (vor allem die grafikintensiven) aktiviert hat. Deaktiviert man Aero und nutzt so die klassische Oberfläche die zur Verfügung stehen wird, sinken die Anforderungen deutlich, da Aero mit der Hauptgrund für diese, uns heute unrealistisch erscheinenden Anforderungen, ist.

... Warten wir doch einfach ab was die Zukunft bringen wird und zerbrechen uns die Köpfe darüber 2006 :D .... Amen. *g*

btw. Wir schweifen vom eigentlichen Thema ab. Weitere Diskussionen dies bezüglich wären im xp Forum besser aufgehoben.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben